Abo
  • Services:
Anzeige
Mozilla macht Ernst - neue Wosign-Zertifikate werden ab Firefox-Version 51 erst einmal nicht mehr akzeptiert.
Mozilla macht Ernst - neue Wosign-Zertifikate werden ab Firefox-Version 51 erst einmal nicht mehr akzeptiert. (Bild: Wosign)

Wosign und Startcom: Mozilla macht Ernst mit dem Rauswurf

Mozilla macht Ernst - neue Wosign-Zertifikate werden ab Firefox-Version 51 erst einmal nicht mehr akzeptiert.
Mozilla macht Ernst - neue Wosign-Zertifikate werden ab Firefox-Version 51 erst einmal nicht mehr akzeptiert. (Bild: Wosign)

Mozilla hat auf der Entwicklermailingliste angekündigt, Zertifikaten von Wosign und Startcom mit der übernächsten Firefox Version 51 nicht mehr zu vertrauen. Die Version ist für den kommenden Januar geplant.

Kathleen Wilson, die bei Mozilla für die CA-Policy zuständig ist, schlägt in einer Mail vor, sieben konkrete Root-Zertifikate von Wosign und Startcom aus dem Root-Programm zu entfernen.

Anzeige

Diskutiert wird derzeit noch, ob mit dem kommenden Release Zertifikate bis Anfang Oktober 2016 akzeptiert werden sollen oder ob es für die beiden CAs noch bis 21. Oktober möglich sein soll, gültige Zertifikate auszustellen. Es gibt bereits einen Bugzilla-Eintrag unter der Nummer #1309707. Die Details werden noch diskutiert, der Vollzug der Entscheidung selbst dürfte aber nicht mehr angezweifelt werden.

Außerdem schlägt Wilson einige Maßnahmen vor. So sollen künftig keine Audits von Ernst & Young Hongkong mehr akzeptiert werden, das gilt für alle CAs in Mozillas Programm. Nach Ablauf der maximalen Gültigkeit der noch mit den künftig unvertrauten Root-Zertifikaten signierten Zertifikate werden die entsprechenden Root-Zertifikate auch aus dem Code von Mozillas Network Security Services (NSS) entfernt.

Startcom darf sich früher wieder bewerben

Wosign darf frühestens zum 1. Juni 2017 erneut einen Antrag auf Aufnahme in das Root-Programm stellen, Startcom schon vorher, wenn es nachweisen kann, dass es weder Code noch Personal mit Wosign teilt. Beide müssen aber darüber hinaus Auflagen erfüllen.

Im Certificate Practice Statement (CPS) muss erkennbar sein, wie künftiges Backdating von Zertifikaten verhindert werden könne. Außerdem sollen beide CAs einen Plan vorlegen, wie künftig alle Vorschriften der Baseline Requirements des CA/Browser-Forums eingehalten werden können. Diese Änderungen müssen auch von einem gültigen Audit bestätigt werden.

Außerdem müssen alle ausgestellten Zertifikate nach Maßgabe der Certificate Transparency in öffentliche Register eingetragen werden. Eines davon bei Googles eigenem Log-Service, darüber hinaus bei einem weiteren Anbieter, der nicht unter Kontrolle der jeweiligen CAs steht. Da es bislang noch keine entsprechenden Anbieter gebe, so heißt es in der Diskussion, könnte hier ein Auge zugedrückt werden, wenn entsprechende Bemühungen von Wosign und Startcom nachweisbar seien. Wosign hatte seinerseits bereits einige Maßnahmen ergriffen.


eye home zur Startseite
Apfelbrot 15. Okt 2016

Da frage ich mich gerade. Warum kein eigenes Updatesystem für die Zertifikate? Einmal...

Gonzales 14. Okt 2016

Sei mal dahingestellt, ob die Untaten von StartCom für mich als Kunden eine Relevanz...



Anzeige

Stellenmarkt
  1. Fresenius Kabi Deutschland GmbH, Oberursel
  2. AVL List GmbH, Graz (Österreich)
  3. Robert Bosch GmbH, Berlin
  4. Salzgitter Mannesmann Handel GmbH, Düsseldorf


Anzeige
Hardware-Angebote
  1. ab 649,90€
  2. (reduzierte Überstände, Restposten & Co.)
  3. ab 799,90€

Folgen Sie uns
       


  1. Fahrdienst

    London stoppt Uber, Protest wächst

  2. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  3. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  4. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  5. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  6. Die Woche im Video

    Schwachstellen, wohin man schaut

  7. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  8. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  9. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  10. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

  1. wie kommt ihr darauf, dass QI bei anderen...

    Lutze5111 | 20:09

  2. Re: Lumia 950 hat schon 1709...

    Jesterfox | 20:09

  3. Re: Aber PGP ist schuld ...

    snape_case | 19:58

  4. Unzureichende Ladungssicherung!

    Vögelchen | 19:56

  5. Re: 197 MBit/s über vodafone.de Speedtest - 30...

    RedRose | 19:45


  1. 15:37

  2. 15:08

  3. 14:28

  4. 13:28

  5. 11:03

  6. 09:03

  7. 17:43

  8. 17:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel